AWS - GuardDuty Enum

GuardDuty

Kulingana na docs: GuardDuty inachanganya ujifunzaji wa mashine, kugundua tofauti, ufuatiliaji wa mtandao, na kugundua faili zenye uharibifu, ikitumia vyanzo vya AWS na vya tatu vinavyongoza katika tasnia kusaidia kulinda kazi na data kwenye AWS. GuardDuty ina uwezo wa kuchambua mabilioni ya matukio katika vyanzo vingi vya data vya AWS, kama vile kumbukumbu za matukio ya AWS CloudTrail, Kumbukumbu za Mtiririko wa Amazon Virtual Private Cloud (VPC), kumbukumbu za ukaguzi na za mfumo wa Amazon Elastic Kubernetes Service (EKS), na kumbukumbu za maswali ya DNS.

Amazon GuardDuty inafichua shughuli zisizo za kawaida ndani ya akaunti zako, inachambua umuhimu wa usalama wa shughuli hiyo, na inatoa muktadha ambao ilitokea. Hii inaruhusu mrespondaji kuamua kama wanapaswa kutumia muda katika uchunguzi zaidi.

Alerts zinaonekana kwenye console ya GuardDuty (siku 90) na Matukio ya CloudWatch.

Findings Example

• Reconnaissance: Shughuli inayopendekeza upelelezi na mshambuliaji, kama vile shughuli zisizo za kawaida za API, majaribio ya kuingia kwenye hifadhidata, skanning ya bandari ndani ya VPC, mifumo ya maombi ya kuingia yaliyoshindwa yasiyo ya kawaida, au uchunguzi wa bandari usiozuiliwa kutoka kwa IP mbaya inayojulikana.

• Instance compromise: Shughuli inayonyesha kuathiriwa kwa mfano, kama vile uchimbaji wa sarafu, shughuli za amri na udhibiti wa nyuma (C&C), malware inayotumia algorithimu za uzalishaji wa kikoa (DGA), shughuli za kukataa huduma za nje, kiasi cha trafiki ya mtandao isiyo ya kawaida, protokali za mtandao zisizo za kawaida, mawasiliano ya mfano wa nje na IP mbaya inayojulikana, akidi za muda za Amazon EC2 zinazotumiwa na anwani ya IP ya nje, na uhamasishaji wa data kwa kutumia DNS.

• Account compromise: Mifumo ya kawaida inayonyesha kuathiriwa kwa akaunti ni pamoja na simu za API kutoka eneo la jiografia lisilo la kawaida au proxy ya kuficha, majaribio ya kuzima kumbukumbu za AWS CloudTrail, mabadiliko yanayopunguza sera ya nywila ya akaunti, uzinduzi wa mfano au miundombinu isiyo ya kawaida, uanzishaji wa miundombinu katika eneo lisilo la kawaida, wizi wa akidi, shughuli za kuingia kwenye hifadhidata zisizo za kawaida, na simu za API kutoka kwa anwani za IP mbaya zinazojulikana.

• Bucket compromise: Shughuli inayonyesha kuathiriwa kwa ndoo, kama vile mifumo ya ufikiaji wa data isiyo ya kawaida ikionyesha matumizi mabaya ya akidi, shughuli zisizo za kawaida za Amazon S3 API kutoka kwa mwenyeji wa mbali, ufikiaji usioidhinishwa wa S3 kutoka kwa anwani za IP mbaya zinazojulikana, na simu za API za kupata data katika ndoo za S3 kutoka kwa mtumiaji ambaye hana historia ya awali ya kufikia ndoo hiyo au ilizinduliwa kutoka eneo lisilo la kawaida. Amazon GuardDuty inaendelea kufuatilia na kuchambua matukio ya data ya AWS CloudTrail S3 (mfano: GetObject, ListObjects, DeleteObject) ili kugundua shughuli zisizo za kawaida katika ndoo zako zote za Amazon S3.

All Findings

Fikia orodha ya matokeo yote ya GuardDuty katika: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

Multi Accounts

By Invitation

Unaweza kualika akaunti nyingine kwenye akaunti tofauti ya AWS GuardDuty ili akaunti zote zifuatiliwe kutoka GuardDuty moja. Akaunti ya mkuu lazima iwalike akaunti za wanachama na kisha mwakilishi wa akaunti ya mwanachama lazima akubali mwaliko.

Via Organization

Unaweza kuteua akaunti yoyote ndani ya shirika kuwa msimamizi wa GuardDuty. Ni akaunti ya usimamizi wa shirika pekee inayoweza kuteua msimamizi wa wakala.

Akaunti inayoteuliwa kama msimamizi wa wakala inakuwa akaunti ya msimamizi wa GuardDuty, ina GuardDuty iliyoanzishwa kiotomatiki katika Eneo lililotengwa la AWS, na pia ina idhini ya kuanzisha na kusimamia GuardDuty kwa akaunti zote ndani ya shirika katika eneo hilo. Akaunti nyingine ndani ya shirika zinaweza kuonekana na kuongezwa kama akaunti za wanachama wa GuardDuty zinazohusishwa na akaunti hii ya msimamizi wa wakala.

Enumeration

# Get Org config
aws guardduty list-organization-admin-accounts #Get Delegated Administrator
aws guardduty describe-organization-configuration --detector-id <id>

# Check external invitations
aws guardduty list-invitations
aws guardduty get-invitations-count

# Detector Information
aws guardduty list-detectors # 1 detector per account with GuardDuty
aws guardduty get-detector --detector-id <id> # Get detector info
aws guardduty get-master-account --detector-id <id>

# Get filters
aws guardduty list-filters --detector-id <id> # Check filters
aws guardduty get-filter --detector-id <id> --filter-name <name>

# Findings
aws guardduty list-findings --detector-id <id> # List findings
aws guardduty get-findings --detector-id <id> --finding-ids <id> # Get details about the finding
aws guardduty get-findings-statistics --detector-id <id> --finding-statistic-types <types>

# Get trusted IP addresses
aws guardduty list-ip-sets --detector-id <id>
aws guardduty get-ip-set --detector-id <id>

# Member accounts of the current AWS GuardDuty master account
aws guardduty list-members --detector-id <id>
aws guardduty get-members --detector-id <id> --account-ids <id>
aws guardduty get-member-detectors --detector-id <id> --account-ids <id>

# Continuously export its findings to an Amazon S3 bucket
aws guardduty list-publishing-destinations --detector-id <id>

# Intelligence sets that you have uploaded to GuardDuty
aws guardduty list-threat-intel-sets --detector-id <id>
aws guardduty get-threat-intel-set --detector-id <id> --threat-intel-set-id <id>

GuardDuty Bypass

General Guidance

Jaribu kujua kadri ya uwezo kuhusu tabia ya ithibati unayotaka kutumia:

• Nyakati inapotumika

• Mahali

• Wakala wa Mtumiaji / Huduma (Inaweza kutumika kutoka awscli, webconsole, lambda...)

• Ruhusa zinazotumika mara kwa mara

Kwa habari hii, tengeneza kadri ya uwezo hali sawa ili kutumia ufikiaji:

• Ikiwa ni mtumiaji au jukumu linalofikiwa na mtumiaji, jaribu kulitumika katika masaa sawa, kutoka eneo moja la kijiografia (hata ISP na IP sawa ikiwa inawezekana)

• Ikiwa ni jukumu linalotumika na huduma, tengeneza huduma hiyo hiyo katika eneo moja na uitumie kutoka hapo katika muda sawa

• Daima jaribu kutumia ruhusa sawa ambazo kiongozi huyu ametumia

• Ikiwa unahitaji kutumia ruhusa nyingine au kutumia ruhusa (kwa mfano, kupakua faili 1.000.000 za cloudtrail log) fanya hivyo polepole na kwa idadi ndogo ya mwingiliano na AWS (awscli wakati mwingine inaita API kadhaa za kusoma kabla ya ile ya kuandika)

Breaking GuardDuty

guardduty:UpdateDetector

Kwa ruhusa hii unaweza kuzima GuardDuty ili kuepuka kuanzisha arifa.

aws guardduty update-detector --detector-id <detector-id> --no-enable
aws guardduty update-detector --detector-id <detector-id> --data-sources S3Logs={Enable=false}

guardduty:CreateFilter

Washambuliaji wenye ruhusa hii wana uwezo wa kutumia filters kwa ajili ya kuhifadhi matokeo kiotomatiki:

aws guardduty create-filter  --detector-id <detector-id> --name <filter-name> --finding-criteria file:///tmp/criteria.json --action ARCHIVE

iam:PutRolePolicy, (guardduty:CreateIPSet|guardduty:UpdateIPSet)

Wavamizi wenye ruhusa za awali wanaweza kubadilisha Orodha ya IP za Kuaminika ya GuardDuty kwa kuongeza anwani yao ya IP na kuepuka kuzalisha arifa.

aws guardduty update-ip-set --detector-id <detector-id> --activate --ip-set-id <ip-set-id> --location https://some-bucket.s3-eu-west-1.amazonaws.com/attacker.csv

guardduty:DeletePublishingDestination

Wavamizi wanaweza kuondoa eneo la kutuma ili kuzuia arifa:

aws guardduty delete-publishing-destination --detector-id <detector-id> --destination-id <dest-id>

Mifano ya Kupita Matokeo Maalum

Kumbuka kuwa kuna matokeo kumi za GuardDuty, hata hivyo, kama Red Teamer si yote yatakugusa, na bora zaidi, una nyaraka kamili za kila moja yao katika https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html hivyo angalia kabla ya kuchukua hatua yoyote ili usikamatwe.

Hapa kuna mifano kadhaa ya kupita matokeo maalum ya GuardDuty:

PenTest:IAMUser/KaliLinux

GuardDuty inagundua maombi ya API ya AWS kutoka kwa zana za kawaida za kupenya na kuanzisha PenTest Finding. Inagunduliwa na jina la wakala wa mtumiaji ambalo linapitishwa katika ombi la API. Hivyo, kubadilisha wakala wa mtumiaji inawezekana kuzuia GuardDuty kugundua shambulio.

Ili kuzuia hili unaweza kutafuta kutoka kwenye script session.py katika pakiti ya botocore na kubadilisha wakala wa mtumiaji, au kuweka Burp Suite kama proxy ya AWS CLI na kubadilisha wakala wa mtumiaji kwa MitM au kutumia OS kama Ubuntu, Mac au Windows kutazuia arifa hii kutokea.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

Kutoa akreditif za EC2 kutoka kwa huduma ya metadata na kuzitumia nje ya mazingira ya AWS kunasababisha arifa ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kinyume chake, kutumia akreditif hizi kutoka kwa mfano wako wa EC2 kunasababisha arifa ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Hata hivyo, kutumia akreditif kwenye mfano mwingine wa EC2 ulioathiriwa ndani ya akaunti hiyo hiyo hakugunduliwi, hakusababisha arifa yoyote.

Marejeleo

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

• https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html

• https://docs.aws.amazon.com/cli/latest/reference/guardduty/delete-publishing-destination.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-torclient

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws

• https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html